Araştırmacılar, CypherRAT ve CraxsRAT’ın oluşturulmasının arkasında ‘EVLF DEV’ adlı yeni bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) operatörünün olduğunu belirlediler.
EVLF, bugün erişilebilen en tehlikeli Android RAT’lerinden biri olan CraxsRAT’ı son üç yıldır, bugüne kadar satılan en az 100 ömür boyu lisansla satmaktadır.
CYFIRMA araştırma ekibi, “RAT’lerin saldırganlar tarafından bir kurbanın kamerasını, konumunu ve mikrofonunu uzaktan kontrol etmek için kullanılabileceğini” bildirdi.
Özellikle, CraxsRAT oluşturucu tarafından oluşturulan Android paketindeki kod son derece karmaşıktır, çeşitli yapılarda bulunur ve tehdit aktörlerine saldırı türüne göre kötü amaçlı uygulamaları dağıtma seçenekleri sunar.
Cyfirma araştırmacıları, “EVLF’nin Suriye’den bir adam tarafından çalıştırıldığı yüksek bir güvenle tespit edilebilir.” Dedi.
Kötü Amaçlı Yazılım Geliştiricisi Ortaya Çıktı
EVLF, ilgili tehdit aktörlerine güvenilirliğini kanıtlamak için yüzey web’de CraxsRAT için bir çevrimiçi mağaza geliştirdi.
ile paylaşılan bilgilere göre Siber Güvenlik HaberleriEVLF’den yazılım aldıktan sonra, bazı tehdit aktörleri sonunda RAT’lerin cracklenmiş (ve bazı durumlarda arka kapılı) sürümlerini siyah şapka topluluğuna vermeye başladı.
Bu, bu RAT’lerin erişilebilirliğini ve aktif kullanıcı sayısını önemli ölçüde artırdı. Anonimliği garanti etmek için, tüm satın alma işlemleri elbette Kripto para biriminde yapılır.
“CraxsRAT’ın yalnızca Android cihazları hedeflediğini doğrulayabiliriz. Araştırmacılar, CraxsRAT oluşturucularının (Windows makinelerinde çalışması amaçlanan) kırık sürümlerinin, diğer kötü amaçlı yazılımların/fidye yazılımlarının önceden var olan arka kapılarının bulunduğu forumlarda dağıtıldığına inanıyoruz” dedi.
Cihazın ekranına ve tuş vuruşlarına erişim elde etmek için uygulamanın ayarlarda erişilebilirliği etkinleştirmesi gerekir. Sonuç olarak, uygulama yüklemesi tamamlandığında oluşturucu, tehdit aktörüne görünen sayfayı değiştirme erişimi verir.
Tehdit aktörleri, erişilebilirliği açmak gibi çok fazla kullanıcı etkileşimi gerektirmeden yazılımı hızlı ve kolay bir şekilde yüklemek için hızlı kurulum işlevini kullanır. Tehdit aktörleri daha sonra kötü niyetli eylemler gerçekleştirmek için gerekli yetkilendirmeyi ister.
Bu nedenle, kullanıcılar uygulamaları yüklerken dikkatli olmalı, şüpheli bağlantılara veya eklere tıklamaktan kaçınmalı ve onları bu tür tehdit aktörlerinin çabalarından korumak için yalnızca yasal uygulama mağazalarından uygulama yüklemelidir.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.